Hi,
gibt es irgendwo eine Sammlung von Zeichenketten in Logfiles die auf Hacks, hinweisen?
Ich möchte die Suche danach in den Logfiles etwas automatisieren.
Ansonsten bin ich dankbar für jeden Hinweis und Patttern.
Was wären noch relevante Anzeichen (CPU-Dauerlast > ?, Verbindungen > ? usw.)
Besten Dank im Voraus
moodys
Suchmuster von Hacks
-
t0x1c
- Posts: 127
- Joined: 2003-10-09 19:59
- Location: Nähe Kiel
Re: Suchmuster von Hacks
Hallo,
ich würde nach einem Hack nicht unbedingt Hinweise in den LOG-Files vermuten.. Die lassen sie nämlich manipulieren.. ;-)
'ne Möglichkeit wäre, Deinen Syslog-Dämon einen anderen Server als loghost benutzen zu lassen.. Dann müsste ein Angreifer auch noch den Loghost kompromittieren um an die Log-Files zu kommen..
Potentielle Suchmuster.. "wget" ist wohl immer ein guter Anfang, das wird von den Angreifern meistens benutzt um irgendwelche rootkits von ner 3.-Quelle zu laden..
Mfg.
t0x1c
ich würde nach einem Hack nicht unbedingt Hinweise in den LOG-Files vermuten.. Die lassen sie nämlich manipulieren.. ;-)
'ne Möglichkeit wäre, Deinen Syslog-Dämon einen anderen Server als loghost benutzen zu lassen.. Dann müsste ein Angreifer auch noch den Loghost kompromittieren um an die Log-Files zu kommen..
Potentielle Suchmuster.. "wget" ist wohl immer ein guter Anfang, das wird von den Angreifern meistens benutzt um irgendwelche rootkits von ner 3.-Quelle zu laden..
Kommt immer darauf an.. Wenn der Angreifer irgendwelche Warez auf deinem Server ablädt solltest Du das an fehlendem Speicherplatz und Traffic-Einbrüchen merken.. Installiert er einen IRC-Bouncer hast Du 'ne connection ins IRC.. kommt halt immer darauf an, was der Angreifer will!Was wären noch relevante Anzeichen (CPU-Dauerlast > ?, Verbindungen > ? usw.)
Mfg.
t0x1c